Ubuntu Manpage: setfiles - установить SELinux-контексты безопасности файлов.

Provided by: policycoreutils_3.0-1_amd64

ИМЯ

       setfiles - установить SELinux-контексты безопасности файлов.

ОБЗОР

       setfiles  [-c  policy]  [-d]  [-l]  [-m]  [-n]  [-e directory] [-p] [-s] [-v] [-W] [-F] [-I|-D] spec_file
       pathname ...

ОПИСАНИЕ

       На этой странице руководства приводится описание программы setfiles.

       Эта программа используется  в  основном  для  инициализации  полей  контекста  безопасности  (расширенных
       атрибутов)  в  одной или нескольких файловых системах (или их частях). Обычно она впервые запускается как
       часть процесса установки SELinux (этап, который называется проставлением меток).

       Также можно запустить её в любой другой момент, чтобы исправить некорректные  метки,  добавить  поддержку
       для  недавно  установленной  политики  или,  используя параметр -n , пассивно проверить, соответствуют ли
       установленные контексты файлов  тем  контекстам,  которые  указаны  в  активной  политике  (поведение  по
       умолчанию) или в какой-либо другой политике (см. параметр -c ).

       Если  объект  файла  не  имеет  контекста,  setfiles запишет контекст по умолчанию в расширенные атрибуты
       объекта файла. Если объект файла имеет контекст, setfiles изменит только ту часть контекста безопасности,
       которая относится к типу.  Параметр -F позволяет принудительно заменить контекст целиком.

ПАРАМЕТРЫ

-c проверить действительность контекстов относительно указанной двоичной политики.

-d показать, какая спецификация соответствует каждому из файлов (не прекращать проверку после
получения ошибок ABORT_ON_ERRORS).

-e directory
исключить каталог (чтобы исключить более одного каталога, этот параметр необходимо использовать
соответствующее количество раз).

-f infilename
infilename содержит список файлов для обработки. Используйте “-” для stdin.

-F принудительно сбросить контекст, чтобы обеспечить соответствие file_context для настраиваемых
файлов и соответствие контексту файлов по умолчанию для остальных файлов (меняются части
контекста, связанные с пользователем, ролью, диапазоном, а также тип).

-h, -? показать сведения об использовании и выйти.

-i игнорировать файлы, которые не существуют.

-I игнорировать дайджест, чтобы принудительно проверить метки, даже если хранимый дайджест SHA1
соответствует дайджесту SHA1 файлов спецификации. Затем (при условии отсутствия ошибок) дайджест
будет обновлён. Более подробные сведения доступны в разделе ПРИМЕЧАНИЯ.

-D установить или обновить дайджесты SHA1 для любых каталогов. Используйте этот параметр, чтобы
включить использование расширенного атрибута security.restorecon_last.

-l записывать изменения меток файлов в системный журнал.

-m не выполнять чтение /proc/mounts для получения списка монтирований без seclabel, которые следует
исключить из проверок с повторным проставлением меток. Установка этого параметра полезна при
наличии смонтированной файловой системы без seclabel, в которой в расположенном ниже каталоге
смонтирована файловая система с seclabel.

-n не изменять метки файлов (пассивная проверка).

-o outfilename
этот параметр устарел и больше не поддерживается.

-p показывать ход выполнения, выводя количество обработанных файлов (единица измерения - блок
размером 1 КБ (то есть 1000 файлов)). Если выполняется повторное проставление меток во всей ОС,
будет показан примерный процент выполнения. Обратите внимание, что параметры -p и -v являются
взаимоисключающими.

-q этот параметр устарел, ранее использовался для прекращения вывода параметров ассоциаций индексных
дескрипторов (inode).

-r rootpath
использовать альтернативный корневой путь. Используется в meta-selinux для сборок
OpenEmbedded/Yocto, чтобы проставить метки для файлов в каталоге rootpath таким образом, как если
бы они были в /

-s взять список файлов из стандартного ввода, а не использовать путь из командной строки
(эквивалентно “-f -” ).

-v показать изменения меток для файлов и вывести параметры ассоциаций индексных дескрипторов (inode).
Обратите внимание, что параметры -v и -p являются взаимоисключающими.

-W показать предупреждения о записях, для которых не обнаружены соответствующие файлы, с помощью
вывода результатов selabel_stats(3).

-0 предполагается, что разделителем для элементов ввода является символ нуля (вместо пробела).
Символы кавычек и обратной косой черты также считаются обычными символами, которые могут
формировать допустимый ввод. Этот параметр также отключает строку конца файла (end-of-file
string), она обрабатывается, как любой другой аргумент. Это полезно, если элементы ввода содержат
пробелы, кавычки или обратные косые черты. Параметр -print0 GNU find производит ввод, подходящий
для этого режима.

АРГУМЕНТЫ

       spec_file
              Файл спецификации, содержащий строки следующего вида:

              regexp [type] context | <<none>>
                     Регулярное  выражение  привязывается с обоих концов. Необязательное поле type указывает тип
                     файла (показывается в поле режима по команде ls(1) ), например, -- для соответствия  только
                     обычным  файлам  или  -d  для  соответствия  только  каталогам.  context может быть обычным
                     контекстом безопасности или строкой <<none>> (чтобы указать, что контекст файла не  следует
                     изменять).
                     Используется последняя соответствующая спецификация. Если на файл имеется несколько жёстких
                     ссылок,  которые  соответствуют  разным  спецификациям,  и эти спецификации означают разные
                     контексты безопасности, будет  показано  предупреждение,  но  для  файла  всё  равно  будет
                     проставлена метка на основе последней соответствующей спецификации, отличной от <<none>>.

       pathname ...
              Путь  к  корневому  каталогу каждой файловой системы, в которой следует повторно проставить метки,
              или конкретный каталог в файловой системе, по которому следует рекурсивно  спуститься  и  повторно
              проставить  метки,  или  путь  к  файлу,  для  которого  следует  повторно  проставить  метку.  Не
              используется, если используется параметр -f или -s .

ПРИМЕЧАНИЯ

       1.  setfiles следует по символическим ссылкам и рекурсивно применяется к каталогам.

       2.  Если в pathname указан корневой каталог, установлен параметр -v , а также запущена система аудита,  в
           журнал  с  меткой  сообщения  FS_RELABEL  автоматически записывается событие аудита, которое содержит
           сообщение о том, что произошло "массовое повторное проставление меток".

       3.  Для повышения производительности при рекурсивном повторном проставлении  меток  в  файловых  системах
           используется  параметр  -D  команды  setfiles  .   Он  обеспечивает  сохранение  дайджеста SHA1 файла
           спецификации spec_file  в  расширенном  атрибуте  с  именем  security.restorecon_last  для  каталога,
           указанного  в соответствующем пути pathname ...  , после успешного завершения повторного проставления
           меток. Этот дайджест  будет  проверен,  если  команда  setfiles  -D  будет  перезапущена  с  теми  же
           параметрами spec_file и pathname Подробные сведения доступны в selinux_restorecon(3).

           Параметр -I позволяет игнорировать дайджест SHA1 из каждого каталога, указанного в pathname ...  , и,
           при  условии,  что  НЕ  установлен  параметр  -n  ,  для  файлов  будут  необходимым образом повторно
           проставлены метки, а дайджест затем будет обновлён (если не будет ошибок).

СМОТРИТЕ ТАКЖЕ

       restorecon(8), load_policy(8), checkpolicy(8)

АВТОРЫ

       Эта man-страница была написана Russell Coker <russell@coker.com.au>.   Программа  была  написана  Stephen
       Smalley <sds@tycho.nsa.gov>.  Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>

                                                  10 июня 2016                                       setfiles(8)